シャドーITとは？種類・リスク・対策を分かりやすく解説

2023年9月19日掲載

コロナ禍を経て人々の働き方は大きく変化しました。スマートフォンやタブレットなど高性能なデバイスが普及したこともあって、場所や時間にとらわれずに業務できるようになり、人々の業務効率も各段にアップしました。しかし、その一方でセキュリティリスクが危惧されています。企業が従業員の使用するデバイスやサービスをすべて把握することが難しくなり、情報漏えいや不正アクセスにつながる可能性が高くなっているためです。そこで今回は企業の管理下にないデバイスやサービスを使うことを意味する「シャドーIT」の問題と対策について解説します。

シャドーITとは

シャドーITとは、企業が使用許可をしていない、あるいは従業員が利用していることを企業側が把握できていないIT資産（デバイスや外部サービス）や、それが使用されている状態のことを言います。企業が管理していないデバイスやサービスを使用し続けると情報漏えいや不正アクセスなどのリスクが高まるため、基本的にIT機器はシステム管理者の管理下に置かなければなりません。

少し前のように、従業員が毎日出社して業務している状況であれば、誰がどの端末でどのようなサービスを利用しているのかを把握できていましたが、場所を問わずに業務できる今の環境下では、それが難しくなったと言えます。

シャドーITの種類 - いったいどのようなものがあるのか

具体的に以下のようなものがあります。従業員が個人的に利用しているスマートフォンやタブレットといった IT機器（ハードウェア）もあれば、クラウドサービス、アプリケーションや通信環境によるものもあります。

従業員の私物デバイス（PC・スマートフォン・USBなど）
従業員が無断でインストールしたソフトウェアやアプリ（チャットツールなど）
従業員が私的に契約・登録したクラウドサービス（クラウドストレージ、オンライン翻訳サービス、メールソフトなど）
会社が契約していないインターネット回線（私用回線、カフェや街などの公衆Wi-Fiなど）
従業員がIT部門に無断で利用するPaaSやIaaS、SaaS（※）
特定の部署が独自に決済して導入した機器やシステム

※ IaaS（イアース）とはインターネットを経由してITインフラを提供するサービスを指します。また、PaaS（パース）はインターネットを経由してアプリが稼働できる仮想プラットフォームを提供するサービスを、SaaS（サース）は、クラウド上のソフトウェアやその機能を提供するサービスを指します。より詳しくお知りになりたい方は、関連記事「IaaS、PaaS、SaaSの違いとは」をご覧ください。

シャドーITのリスク

具体的にどういったリスクが考えられるでしょうか。

（１）情報漏えい

デバイスの紛失や盗難
情報漏えいにつながる最も多い理由です。企業が把握していない端末であるため、原因の特定や関係者への報告も迅速に対応できません。
チャットツール
サービス提供事業者のサーバ上にデータが保存されることが多く、サーバがサイバー攻撃を受けたりする場合など、ここから情報が洩れる可能性があります。
クラウドサービス
企業データの検証・試験の場として利用した場合、アクセス権限の設定ミスなどの人為的ミスが発生すると、そこから企業データが外部へ漏えいする可能性があります。
LANへの侵入
USBデバイスなどの外部ストレージを社内PCに接続した場合、簡単に外部に重要情報を持ち出せてしまいます。機密情報や情報資産を扱う者が情報を勝手に持ち出し・流用したり、競合他社へ情報を横流しする内部不正に発展する可能性があります。
フリーメール
GmailやYahoo!メールなどのアドレスは簡単に作れるうえに対応アプリを簡単にスマートフォンへインストールできることから、シャドーITとなるリスクが高くなります。また、フリーメールを使用して誤送信した場合、情報が漏れる範囲がとても広くなってしまいます。

（２）不正アクセス

フリーWi-Fiなどを使って、社内システムにアクセスするケースがあります。原則として、フリーWi-Fiは暗号化がされておらず、第三者からでも覗き見が容易です。そのため、覗き見た情報が外部に漏れたり、覗き見た情報をもとに社内システムへ不正アクセスされたりなどのリスクが発生します。会社が把握していない端末が使われ、インターネットを介して社内のデータと繋がってしまうのはリスクがとても高くなります。

（３）マルウェア・ウィルス等への感染

個人のIT機器がマルウェア（※）に感染していた場合、それに気づかずに社内LANに接続すると社内ネットワークに感染し、さらにネットワークに繋がっている機器にも被害が広がり、大規模な損害につながる可能性があります。
また、社内のセキュリティを強化してもウィルスに感染する恐れはあります。クラウドサービスなどは法人向けより個人向けのほうがセキュリティ機能が弱い場合が多いので、個人向けのサービスからウィルスに感染し、そのまま企業のネットワークに接続して感染が拡大することもあります。

※マルウェア：悪意のあるソフトウェア

（４）アカウントの乗っ取り

情報を盗まれたり、連絡先に登録されている取引先などに迷惑をかけてしまったり、迅速な対処ができないというリスクがあります。例えば無許可で個人用クラウドストレージサービスに業務情報を入れて、会社のPCと自宅の個人用PCで共有していた場合、セキュリティ機能が弱い個人用PCに侵入されてIDやパスワードが漏れてしまうこともあり得ます。
IDやパスワードが漏れてしまうと、アカウントが乗っ取られ、クラウドストレージサービスに入れてあった業務情報がすべて相手の手に渡ってしまうことも起こります。また、企業が許可している法人向けクラウドストレージサービスであっても、フリーWi-Fiを使ってアクセスすることでIDとパスワードが漏れてしまうケースも考えられます。その場合、同じようにアカウントが乗っ取られ、大きな被害を被る可能性があります。セキュリティや認証設定の脆弱なシャドーITは、IDやパスワードを盗まれやすくアカウントの乗っ取り被害に遭いやすい特徴があります。

発生する背景とは

理由として、まずは 勤務場所の多様化 があげられます。
テレワークの普及により、オフィスに出社せずオフィス外で業務を行うことが増えました。各従業員がそれぞれの都合に適した場所で業務をする環境では、管理部門の目が行き届かなかったり、ツールやサービスの使用を従業員自身で判断する余地が生じます。
テレワークには通勤の負担がなくなる、育児や介護などと仕事との両立が実現できる、など数多くのメリットがありますが、シャドーITにつながりやすいという側面もあるのです。

また、従業員のニーズや意識 も理由の１つです。
「現状より便利で効率的なサービス、ツールがあるから使いたい」、「サービスを使用すると仕事がはかどる」という従業員の業務上の不満や要望も影響していると考えられます。例えば、あるツールを使えば業務がスムーズに進行できるという場合、時間やコストをかけて社内承認を得なくても使ってしまいたいと考える従業員は多いはずです。私用スマホから会社のフォルダへアクセスしたり、自宅のPCから取引先へメールを送るといったことも業務遂行、効率化のために行われてしまうのもよくある例です。

企業のセキュリティよりも利便性と業務効率のみを求めてしまうと、企業の重要な情報が漏えいしてしまい、信用の失墜、売上の損失へとつながってしまいます。

また、情報セキュリティに対する意識が低く、何気なく利用しているケースもあるのでこちらも対策が必要です。

シャドーITを防ぐには？

シャドーITの対策にかかるコストよりも、実際に情報セキュリティ事故が起きた場合の損害のほうが大きくなることも多いので、シャドーITを防ぐ対策を行うことが重要です。

（１）まずは社内の現状を把握することから始めましょう。

仕事を効率的に行うために便利なツールや方法を探した結果、シャドーITを行ってしまっているのが大半です。企業側が提供しているIT環境では仕事がやりにくかったり、非効率で使いにくいままでは、これらを完全に無くすことはできません。従業員に、なぜシャドーITを使っているのかをヒアリングすることによって、会社の非効率ポイントを発見し、改善することが仕事を効率的にし、生産性を向上させることにもつながります。

また、許可されたITを一覧できるようにリストアップすることも現状を把握するのに有効です。許可されていないITを明確にするとともに、許可したITに対してセキュリティ対策をすることが重要です。

（２）別の方法、効率的な代替策を選定し、導入しましょう。

「セキュリティの高さ」と「使いやすさ」の２つのポイントを重視して、シャドーITとして使用しているツールの代わりとなるものを、しっかりと選定して導入することが重要です。

例えばチャットツールが必要であれば、業務利用を想定しているチャットサービスを用意したいしたり、ファイル共有が必要な場合はビジネスプランのあるクラウドストレージを用意するなど、セキュアな状態を兼ね備え、かつ従業員が利便性を感じられる環境を作ることが必要です。

（３）検知する 仕組み づくりをしましょう。

システム的に制御するのが有効です。たとえばUSBメモリを利用した情報の持ち出しを防ぐのであれば、PCのUSBポートを制御するソフトウェアを導入するなど、インシデントを避けるためにシステム的に防ぐ仕組みが必要です。

（４）ガイドライン を定めましょう。

業務環境を整えた上で、私物や無料サービスの業務利用に対するガイドラインを作ることも有効です。どうしても私物のデバイスやサービスを利用しなければならない場合は、システム管理者の許可を得ることを義務付けるワークフローを作成するのも対策のひとつです。ガイドラインを定めて適切に制御した上で個人向けのデバイスを業務に利用するBYODという方法もあります。

（５）社員教育 を行いましょう。

シャドーITを増やさないためには、従業員一人一人の心構えが大切です。シャドーITがどのように危険なのか、もし情報セキュリティ事故が起きた場合にどれほど大きな損害がでるのかという啓蒙活動が必要であり、それには定期的な教育が有効となります。
例えば、社内でセキュリティの大切さについての講習会を開く、他社で情報セキュリティ事故が起きた場合は社内に告知し、同様の事例を起こさないよう注意喚起を行うなど、社内のセキュリティ意識を高める活動や従業員へのリテラシー教育を行いましょう。

急速な技術革新やクラウドサービスの普及やスマートデバイスの進化は、企業が適切に管理・監視などができれば、業務の効率化に大きく寄与します。また、企業のIT環境に対する従業員の不満を解消することが、企業のIT環境改善を促し、非効率ポイントの解消につながっていきます。シャドーITを防ぐために適切な対策をし、従業員が満足できるデバイスの管理方法を検討するなど、企業内のIT環境を見直し整えていくことから始めてみてはいかがでしょうか。